Recentemente, alguém sempre me pergunta: Como é que se avalia se GitHub, relatórios de auditoria, atualizações de multi-assinaturas são “confiáveis ou não”? Para ser sincero, não espere entender tudo de uma só vez, comece pelo mais básico: o GitHub é mantido por alguém há bastante tempo? As atualizações são consistentes? Quando há problemas, eles respondem às issues com seriedade? Evite aqueles que de repente têm uma enxurrada de commits numa noite só, e cujo autor parece ter desaparecido.

Relatórios de auditoria também não devem ser considerados uma garantia absoluta, um relatório ≠ segurança, o mais importante é verificar se ele analisa a versão mais recente, se há conclusões de “já corrigido/não corrigido”, especialmente como lidaram com vulnerabilidades relacionadas a permissões. Alguns projetos colocam vulnerabilidades críticas lá, mas não as consertam, aí eu simplesmente bloqueio silenciosamente.

Para atualizações de multi-assinatura, eu me preocupo mais: quem pode fazer a atualização, quantas chaves são necessárias, há um bloqueio de tempo? Se puder alterar o contrato com um clique a qualquer momento, mesmo as narrativas mais quentes me deixam um pouco nervoso. Recentemente, AI Agent, negociações automáticas e essas coisas têm sido muito divulgadas, mas quanto mais automação, mais fácil é delegar a autorização, e nesse aspecto a segurança precisa ser analisada com mais cuidado… senão, é questão de minutos para dar ruim.